ユーティリティモジュールに潜む脅威
大規模な企業ネットワークでは、目立たないユーティリティモジュールが侵害の入口となるケースが後を絶ちません。こうした静かなシステムには、従業員・学生・顧客の重要なデータが何十年にもわたって蓄積されています。近頃、悪名高いサイバー犯罪グループ「ShinyHunters」が壊滅的なサイバー攻撃を発表しました。同グループはOracle PeopleSoftに存在する重大なゼロデイ脆弱性を積極的に悪用し、300件の脆弱なプラットフォームバージョンを標的として100以上の著名な組織への侵入に成功しました。
ノッティンガム大学で大規模データ窃取
最初の被害が確認された組織はノッティンガム大学です。攻撃者は容赦なく40ギガバイトもの機密情報を窃取しました。具体的には、在学生および卒業生・修了生の個人情報と財務記録が盗まれています。同大学は6月9日(火曜日)にShinyHuntersのリークサイトに掲載され、その後まもなく同日午後に盗まれたデータが公開されました。
Google脅威インテリジェンスが悪用の実態を確認
さらに、Google脅威インテリジェンスはCVE-2026-35273の悪用に対応する悪意ある活動を確認しました。この深刻な脆弱性はCVSSスコアで9.8という極めて高い評価を受けています。当該攻撃キャンペーンは5月27日から6月9日にかけて実施されており、調査担当者はその後、脆弱なネットワーク構成を持つ世界各地の複数の組織に対して警告を発しました。潜在的な被害組織の大多数は米国の機関であり、特に高等教育機関が標的全体の68パーセントを占めているという点が注目されます。
CVE-2026-35273がもたらす壊滅的な影響
世界中の無数の企業が、PeopleSoftを人事・給与・サプライチェーン・学籍管理などの重要な業務に活用しています。しかし、CVE-2026-35273の脆弱性は認証を持たない攻撃者に恐るべき能力を与えます。攻撃者は基本的なHTTPネットワークアクセスさえあれば、PeopleSoft Enterprise PeopleToolsのアーキテクチャ全体を掌握することができます。最終的に、この脆弱性の悪用によってプラットフォームの完全な制御権が攻撃者の手に渡ることになります。
緊急の緩和策と修復戦略
データ漏洩を受け、ノッティンガム大学は壊滅的な侵害を速やかに認めました。一方でOracleは緊急のアウトオブバンドセキュリティ情報を迅速に配布しました。現時点では、正式なソフトウェアパッチの提供時期については依然として不明な点が残っています。しかし、MandiantのエグゼクティブであるCharles Carmakal氏は、Oracleが即時的なリスク軽減策を提供したことを確認しており、包括的なセキュリティアップデートが近日中に提供される見込みだと述べています。
脆弱な組織が今すぐ取るべき対策
正式なパッチが公開されるまでの間、管理者はOracleの緊急ガイドラインを直ちに実施する必要があります。まず、セキュリティチームはすべての外部ネットワークにおけるPeopleSoftの露出状況を評価してください。次に、エンジニアはすべての受信HTTPトラフィックを積極的に制限してください。さらに、5月27日から6月9日の間に記録されたシステムログを詳細に精査することが求められます。最後に、個人情報や財務情報を含むデータベースの監査を優先的に実施してください。
翻訳元: https://meterpreter.org/oracle-peoplesoft-zero-day/
